Immer wieder Zahl.exe (z. B. 27191768.EXE) im Windows-Verzeichnis
 

Hallo zusammen,

Malwarebytes findet bei mir immer wieder exe-Dateien im Windows-Verzeichnis. Nach Löschung entstehen sie immer wieder erneut. Kann mir jemand sagen, wie ich das Problem los werde?

-Protokolldetails-
Scan-Datum: 04.10.17
Scan-Zeit: 12:58
Protokolldatei: 05534e74-a8f3-11e7-b65e-001a4d4f09c8.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.188
Version des Aktualisierungspakets: 1.0.2947
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 15063.608)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 558006
Erkannte Bedrohungen: 13
In die Quarantäne verschobene Bedrohungen: 13
Abgelaufene Zeit: 3 Min., 3 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 7
Backdoor.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\180805470, Löschen bei Neustart, [646], [251584],1.0.2947
Backdoor.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\592921234, Löschen bei Neustart, [646], [251584],1.0.2947
Generic.Malware/Suspicious, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\6508829, Löschen bei Neustart, [0], [392686],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\8922555, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\7590181, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\7953367, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\5605693, Löschen bei Neustart, [2223], [434554],1.0.2947

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 6
Generic.Malware/Suspicious, C:\WINDOWS\26601944.EXE, Löschen bei Neustart, [0], [392686],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\31517144.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\27191768.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\28305880.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\26798552.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Generic.Malware/Suspicious, C:\WINDOWS\TEMP\8C39.TMP, Löschen bei Neustart, [0], [392686],1.0.2947

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

]:hallo:
Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist
• Wir machen unsere Arbeit freiwillig und ehrenamtlich neben unserer normalen Beschäftigung im Leben. Dennoch, wenn ich dir nicht binnen 36h antworte, sende mir bitte eine persönliche Nachricht!

Los geht's :abklatsch:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo burningice,

vielen Dank für das Hilfsangebot. Hier die FRST

und hier die Addition:

Schritt: 1
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

mbar-log 1:

mbar-log 2:

Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

FRST:

Addition:

noch einiges zu tun.

Schritt: 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt: 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Fixlog:

FRST:

Addition:

Schritt: 1
FRST Fix

• Markiere den Inhalt der folgenden Code-Box vollständig, mache einen Rechtsklick darauf und wähle "Kopieren":
  
  Code:

  ---

  Start::
CloseProcesses:
EmptyTemp:
S2 205468; %SystemRoot%\46000600.exe [X]
S2 308480578; %SystemRoot%\9169168.exe [X]
S2 310721750; %SystemRoot%\16312592.exe [X]
S2 376430; %SystemRoot%\40298968.exe [X]
S2 533804; %SystemRoot%\18016728.exe [X]
S2 6461077; %SystemRoot%\28830152.exe [X]
Task: {34F2FCEC-D000-4A9A-A0F0-FC7E55994DD7} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
Task: {763204FC-E412-440F-8271-61B58BBAE303} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
FilesInDirectory: C:\Windows\*.exe
reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender" /t REG_DWORD /v DisableAntiSpyware /d 0
cmd: sc start windefend
End::

  ---

• Starte nun FRST und klicke den Entfernen Button.
• Das Tool führt die gewünschten Schritte automatisch aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt: 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Muss ich den kopierten Text nirgendwo einfügen?

Ansonsten gleicht die Anleitung ja dem vorherigen Schritt, wo eine erstellte Fixlist.txt als Vorlage für den "Entfernen" Button" diente... :wtf:

ja ist nur ein anderer weg, es führt es auch selbstständig aus, wenn du es noch kopierst. Einfach machen was da steht :D